CVE-2026-9134: XSS-sårbarhed i FooGallery til WordPress
WordPress-plugin FooGallery (op til v3.1.31) lader indloggede brugere plante skadelig kode på dit website.
Hvad er det?
FooGallery er et populært WordPress-plugin til billedgallerier. En sikkerhedsfejl i versioner op til og med 3.1.31 gør det muligt at gemme skadelig JavaScript-kode (et såkaldt Stored Cross-Site Scripting-angreb, forkortet XSS) i galleriet. Fejlen opstår fordi pluginnet forsøger at blokere farlige HTML-hændelsesattributter, men glemmer nogle – f.eks. blokeres onmouseover, men ikke onmouseenter. Den ondsindede kode bliver herefter udført i browseren hos enhver besøgende, der åbner den ramte side.
Hvem rammer det?
Alle WordPress-websites der bruger FooGallery i version 3.1.31 eller tidligere. For at udnytte fejlen skal en angriber have en brugerkonto på dit website med mindst Contributor-rettigheder (det laveste niveau, der må tilføje indhold). Websites med åben brugerregistrering eller med mange medarbejdere som redaktører er særligt udsatte.
Hvad kan ske?
Når den skadelige kode er plantet, udføres den automatisk i browseren hos alle, der besøger siden – uden at de gør noget. Det kan føre til:
- Tyveri af login-cookies, så angriberen kan overtage andre brugeres konti – herunder administratorer.
- Omdirigering af besøgende til falske eller skadelige websites.
- Visning af falske formularer der opsamler oplysninger (f.eks. kreditkortdata) fra dine kunder.
- Skade på dit omdømme, hvis kunder opdager at dit website spreder skadelig kode.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 6.4 – Moderat. Angrebsvektoren er netværket (angriberen behøver ikke fysisk adgang), kompleksiteten er lav, og der kræves ingen interaktion fra offeret. Det kræver dog en eksisterende brugerkonto, hvilket trækker alvorligheden lidt ned. Konsekvenserne for fortrolighed og integritet er begrænsede, og selve serveren nedbrydes ikke. Samlet set er det en reel risiko, men ikke en kritisk katastrofe – forudsat du handler hurtigt.
Hvad gør jeg nu?
Følg disse trin for at beskytte dit website:
- Opdatér FooGallery nu. Log ind i dit WordPress-dashboard, gå til Plugins → Installerede plugins, find FooGallery og klik Opdatér. Installér version 3.1.32 eller nyere.
- Gennemgå dine brugerkonti. Slet eller deaktivér konti, der ikke længere er i brug. Begræns Contributor-adgang til de personer der reelt har brug for den.
- Tjek om noget ser mistænkeligt ud. Kig dine gallerisider igennem for ukendt indhold. Uventet omdirigering eller pop-ups kan være tegn på et angreb.
- Aktivér to-faktor-godkendelse (2FA). Kræv 2FA for alle brugerkonti, så et stjålet kodeord alene ikke giver adgang.
- Tag en sikkerhedskopi. Sørg for at have en nylig backup, så du hurtigt kan gendanne sitet hvis noget går galt.
Opdatér inden for 24-48 timer
Opdatér FooGallery til seneste version hurtigst muligt – det er en simpel handling der fjerner sårbarheden fuldstændigt. Gennemgå samtidig listen over brugerkonti på dit website og fjern alle konti, der ikke aktivt er i brug. Hvis du er usikker på om dit site allerede er kompromitteret, så kontakt os for en hurtig gennemgang.
Tidslinje
Konkrete eksempler
Misfornøjet freelancer stjæler admin-adgang
En tidligere freelance-blogger har stadig en Contributor-konto på dit WordPress-site. Han indsætter et skjult onmouseenter-script i et billedgalleri, der stjæler login-cookien fra den næste administrator, der besøger siden. Med den cookie kan han logge ind som administrator og ændre eller slette indhold på dit website.
Falsk betalingsformular overfor dine kunder
En angriber med adgang til en kompromitteret medarbejderkonto injicerer JavaScript i et galleri på din webshops forside. Koden viser en falsk pop-up der beder besøgende om at taste deres kortoplysninger for at ‘bekræfte købet’. Kunderne tror det er en del af din shop, og deres kortdata sendes direkte til angriberen.
Omdirigering til phishing-side
En angriber planter et script der automatisk sender besøgende videre til en falsk login-side, der ligner din – eller en velkendt bank. Brugerne indtaster deres oplysninger i god tro, og angriberen høster dem. Du opdager det først, når kunder klager over at de er blevet snydt via din hjemmeside.
Ofte stillede spørgsmål
Skal jeg være bekymret, hvis ingen andre end mig selv har en konto på mit website?
Hvis du er den eneste bruger på dit website, er risikoen markant lavere – angriberen skal nemlig have en gyldig brugerkonto for at udnytte fejlen. Alligevel bør du stadig opdatere pluginnet, da situationen kan ændre sig, og opdateringen tager under et minut.
Kan mine kunder blive ramt, selvom de ikke har en konto?
Ja. Når den skadelige kode er indsat af en angriber med en brugerkonto, rammer den alle besøgende på siden – også dem der blot kigger på dine billeder uden at være logget ind. Det er netop det der gør XSS-angreb farlige.
Hvordan ved jeg, hvilken version af FooGallery jeg har?
Log ind i WordPress og gå til Plugins → Installerede plugins. Find FooGallery på listen – versionnummeret vises direkte under pluginnets navn. Er det 3.1.31 eller lavere, skal du opdatere nu.
Er der en nem måde at se, om nogen allerede har udnyttet fejlen?
Kig dine gallerisider igennem for ukendt eller mistænkeligt indhold. Du kan også installere et sikkerhedsplugin som Wordfence og køre en scanning – det vil markere kendte ondsindede mønstre i indholdet. Kontakt os, hvis du er usikker på hvad du finder.
Hvad er Cross-Site Scripting (XSS)?
XSS er en angrebstype, hvor en angriber gemmer skadelig JavaScript-kode på en hjemmeside. Koden afvikles derefter automatisk i besøgendes browsere og kan f.eks. stjæle login-oplysninger, omdirigere brugere til falske sider eller vise falske formularer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The FooGallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘custom_attribute_key’ shortcode parameter in versions up to, and including, 3.1.31 This is due to an incomplete JavaScript event handler blacklist in the foogallery_sanitize_javascript() function, which blocks only a subset of HTML event attributes (onmouseover, onmouseout, onpointerenter, onclick, onload, onchange, onerror) while permitting others such as ‘onmouseenter’, combined with the failure to escape the attribute key when building the gallery container HTML in foogallery_build_container_attributes_safe(). This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
